zimo mobile logo
  • Tehnologija
  • Znanost
  • Društvene mreže
  • Esport
  • Business
Prati nas:
Upravljaj obavijestima
  • Prijavi se na newsletter
  • Imaš priču? Pošalji
  • Pišite nam
  • Uredništvo
  • Oglašavanje i marketing
  • Uvjeti korištenja
  • Vijesti
  • Video
  • Zadovoljna
  • Tech
  • Blog
  • Nova TV
  • Doma TV
Nova TV
  • Vijesti
  • Video
  • Zadovoljna
  • Tech
  • Blog
  • Nova TV
  • Doma TV
  • zimo logo
  • Tehnologija
  • Znanost
  • Društvene mreže
  • Esport
  • Business
Prati nas:
  • Dnevnik.hr
  • Vijesti
  • Sport
  • Showbizz
  • Lifestyle
  • Putovanja
  • Zdravlje
  • Biznis
  • Zabava
  • Teen
  • Tv
Ostalo

Wordpress security checklista by Neuralab

Brza checklista za osiguravanje Wordpress web sjedišta. Od instaliranja do održavanja

Zimo
Zimo
Neuralab | 03.12.2012. / 14:49 komentari

Podijeli

Wordpress security checklista by Neuralab

Iako niti jedan CMS nije 100% siguran, zadaća svakog web developera je da taj postotak poveća koliko god je moguće. Smatrajte stoga ovu “checklistu” postupkom kojim ćemo smanjiti vjerojatnost upada na WordPress sjedište, no imajte na umu da ona rješava samo tehnološke postupke, tj. ukradeni laptop ili iPhone sa spremljenim šiframa poništava sve ove točke pa držite barem jedno oko otvorenim.

tri vijesti o kojima se priča Mlada djevojka, ilustracija Neki bi joj zavidjeli U strahu da ne ispadne čudna samo je obitelji priznala što može. Znanstvenici oduševljeni: "Takvih ima samo 100" Appleovi telefoni, ilustracija Vrijeme radi svoje… Ako imate ove modele telefona, možda je vrijeme da ih zamijenite i kupite nove Nastava, ilustracija Što napraviti?! Situacija nikad nije bila gora: Profesori tvrde kako su domaće zadaće izgubile svaki smisao

Prije instalacije...


1. Preuzmite najnoviju stabilnu verziju WordPressa sa službene stranice


Staro softveraško pravilo nalaže da se u produkciju ne ide sa verzijama software-a koje završavaju sa “0”, a to vrijedi i za WordPress. Na primjer, nije mudro živu stranicu nadograditi na WP 3.5.0. Bolje je da pričekate tjedan, dva, tri dok community nije upozorio i otklonio propuste koji su nastali pri velikim doradama sustava. Tipični kandidati za produkcijsku instalaciju su npr. 3.4.9 verzije pošto su na njima sve značajke temeljito istestirane i ispravljene. Pročitajte Wiki ukoliko želite saznati više informacija o verzioniranju software-a.


2. Osigurajte web server ili cloud platformu


Šifre koje čuvaju “LAMP stack” moraju biti “randomizirane” riječi (npr. “c7Xke96H18jQ35”) kako bi se spriječili dictionary napadi, a otvorite samo one portove koji su potrebni za nesmetano funkcioniranje web sjedišta. Također, uklonite software koji operativno ne koristite na serveru te izvršavajte regularni update cijelog sustava. Osiguravanje Linux servera je tema preopsežna za ovakav članak pa vas upućujemo na Google ukoliko sami održavate hosting platformu. Sretno vam na tom putu jer do današnjeg dana Google sadržava preko 498.000.000 tematskih odgovora :)


3. Kreirajte sigurnu MySQL bazu podataka


Kod kreiranja baze potrebno je odrediti naziv same baze podataka, korisničko ime te lozinku za pristup. Neka sve tri riječi budu “randomizirani” hashevi, a kreirane šifre čuvajte pomoću odličnog i besplatnog alata -> http://keepass.info/

Inače, ovakav način obrane zove se “Security through obscurity”, a više informacija pronađite u opsežnom Wiki članku-


4. Promijenite tajne WP Salt ključeve


WordPress osigurava svoje lozinke tako da “zasoli” sve što vi unesete kao lozinku. Ti tajni ključevi koje služe za “soljenje” se nalaze unutar wp-config.php datoteke, a nove možete kreirati na službenom WP sjedištu.


5. Uklonite “kod” koji prikazuje verziju WordPressa u temi


Ovaj korak možete napraviti pri izgradnji teme no istu stvar možete napraviti i pomoću dodatnih sigurnosnih alata koje ćemo instalirati nakon core WP instalacije.

Tijekom instalacije...


6. Prefiksacija WP tablica


WordPress prilikom instalacije nudi na izbor tzv. table_prefix. Odaberite neki random skup brojeva i slova npr. “c7Xke96H18jQ35”. Što se time postiže? Osoba koja izvršava napad na WP sada ne zna kako se zovu vaše tablice u bazi (te i to mora pogađati). Samim time smo dodali još jedan sloj obrane :)


7. Ne koristite “Admin” za naziv administratorskog korisnika


Odaberite neko smisleno ime npr. “MisoKovac” ili slično.  Kao i u točki 6, haker će sada morati dodatno pogađati kako se zove administrator da bi dobio pristup WordPressu.


8. Koristite jake šifre


Ovo pravilo se odnosi na cijelu checklistu, a glasi:

  • lozinka mora sadržavati barem 15 slova i barem 5 brojeva
  • slova moraju biti kombinacija malih i VELIKIH
  • ne unosite brojevne ili slovne slijedove npr. “12345” ili “abcdef”
  • primjer dobre lozinke: “l2Ap7mDp502BkeLap10f5”

Odmah nakon instalacije...


9. Instalirajte sigurnosne alate (pluginove)


  1. WP security scan - http://wordpress.org/extend/plugins/wp-security-scan/
  2. WordPress exploit scanner - http://wordpress.org/extend/plugins/exploit-scanner/
  3. Website defender - http://wordpress.org/extend/plugins/websitedefender-wordpress-security/
  4. XCloner - http://wordpress.org/extend/plugins/xcloner-backup-and-restore/

Svaki od ovih alata ima svoje postavke koje morate dodatno proučiti te primjeniti. XCloner doduše služi samo za backup cijelog sustava, dok prva tri služe za analizu i popravak postojeće instalacije. Svi pluginovi su ažurirani na dnevnoj bazi te ekstenzivno korišteni od zajednice, a biti će vam velika pomoć pri osiguravanju WP sjedišta. Provjerite i našu internu listu pluginova ukoliko vam treba i neka druga funkcionalnost.


10. Osigurajte WP admin sučelje


WP-Admin sučelje se može osigurati s gore navedenim alatima, a neki od načina su: dozvoljavanje pristupa samo određenim IP adresama, locking-out korisnika koji više od tri puta unesu krivu lozinku i sl.


11. Minimizirajte FTP dopuštenja


Počnite sa “755” za direktorije te za datoteke namjestite dopuštenja na “644”. Povećajte dopuštenja samo ukoliko ne možete nešto ”uploadati” ili uređivati.


12. Promijenite putanju do wp-config.php datoteke


Od WP verzije 2.6,  wp-config.php je moguće premjestiti jedan level iznad root mape. Tako svim domain-level napadima onemogućavate pristup do wp-config datoteke tj. dodajete još jedan sigurnosni sloj.

Za vrijeme korištenja stranice...


13. Uklonite nepotrebne teme i pluginove


Pluginovi i teme su jednostavna stražnja ulazna vrata na WP instalaciju stoga svakako uklonite nekorištene pluginove i onemogućene teme. Administriranje i “backupiranje” će biti čišće, brže i jednostavnije pa time dobivate i dodatni razlog da krenete u “purge” akciju.


14. Regularno nadograđujte WP sjedište


Pratite verzije te osvježavajte WP instalaciju. Uglavnom, opće uvriježeno mišljenje je da se kod velike većine napada radi upravo o starim verzijama WP sustava, no sjetite se pravila br.1 … oprezno i mudro s “0” verzijama.


15. Prijavite sigurnosne propuste


Napravite WP zajednici uslugu i prijavite sumnjivo ponašanje čim naiđete na njega (bilo kod originalnih datoteka ili raznovrsnih pluginova) na security@wordpress.org ili plugins@wordpress.org.

Krešimir Končić, Neuralab

Mislite li da je ovo potpuni pregled koraka za osiguravanje Wordpressa? Komentirajte, pišite ili tweetajte na @transmeettv...


Neuralab je digitalno-kreativna agencija koja niže jedinice i nule od 2007.godine. Kreira web projekte, mobilne i facebook aplikacije, producira video uratke kroz Transmeet.Tv sub-brand te zajedno s klijentima realizira cjelokupnu online strategiju.

Follow @transmeettv

PODIJELJENO 0 PUTA

Podijeli

aktualno najčitanije
Šef velike tehnološke kompanije najavio promjenu strategije i upozorio: Birokracija je prokletstvo
Koči inovacije
Šef velike tehnološke kompanije najavio promjenu strategije i upozorio: Birokracija je prokletstvo
EK odobrio lijek za postporođajnu depresiju: Smanjuje simptome za dva tjedna
Prvi takav lijek
EK odobrio lijek za postporođajnu depresiju: Smanjuje simptome za dva tjedna
Znanstvenici tvrde da bi uskoro mogli vidjeti svemirsku eksploziju za koju se dosad vjerovalo da se ne može dogoditi
Unutar 10 godina
Znanstvenici tvrde da bi uskoro mogli vidjeti svemirsku eksploziju za koju se dosad vjerovalo da se ne može dogoditi
Infobip Shift 2025 još jednom pokazao zašto je jedna od najposjećenijih developerskih konferencija u ovom dijelu Europe
Više od 5000 posjetitelja
Infobip Shift 2025 još jednom pokazao zašto je jedna od najposjećenijih developerskih konferencija u ovom dijelu Europe
Švicarska "najinovativnija zemlja" na svijetu, Hrvatska "u skladu s očekivanjima"
Globalni inovacijski indeks
Švicarska "najinovativnija zemlja" na svijetu, Hrvatska "u skladu s očekivanjima"
Kineski potez koji bi mogao naštetiti Nvidiji: Nema više američkih AI čipova za kineske IT divove
Zaoštravanje odnosa
Kineski potez koji bi mogao naštetiti Nvidiji: Nema više američkih AI čipova za kineske IT divove
Fascinantna sposobnost 17-godišnjakinje oduševila znanstvenike: Takvih je ljudi tek stotinjak na svijetu
Neki bi joj zavidjeli
U strahu da ne ispadne čudna samo je obitelji priznala što može. Znanstvenici oduševljeni: "Takvih ima samo 100"
Situacija nikad nije bila gora: Profesori tvrde kako su domaće zadaće izgubile svaki smisao
Što napraviti?!
Situacija nikad nije bila gora: Profesori tvrde kako su domaće zadaće izgubile svaki smisao
Ako imate ove modele telefona, možda je vrijeme da ih zamijenite i kupite nove
Vrijeme radi svoje…
Ako imate ove modele telefona, možda je vrijeme da ih zamijenite i kupite nove
Znanstvenici tvrde da je cjepivo protiv COVID-19 svijetu uštedjelo do 35 bilijuna eura
Ogromna cifra
Znanstvenici tvrde da je cjepivo protiv COVID-19 svijetu uštedjelo do 35 bilijuna eura
Slijedi velika promjena na tržištu rada: Evo tko će prvi ostati bez posla, prema Samu Altmanu
Mnoge su industrije ugrožene
Slijedi velika promjena na tržištu rada: Evo tko će prvi ostati bez posla, prema Samu Altmanu
NASA zagolicala maštu javnosti: U dolini Neretve pronađeni tragovi izvanzemaljskog života?
Na Marsu
NASA zagolicala maštu javnosti: U dolini Neretve pronađeni tragovi izvanzemaljskog života?

Vezane vijesti

Ne propustite ni ovo

vijesti
Adni (26) je pozlilo na vlastitom vjenčanju: Dva dana nakon je umrla
tuga u susjedstvu
Adni (26) je pozlilo na vlastitom vjenčanju: Umrla je dva dana poslije
U tijeku su uhićenja i provođenje hitnih dokaznih radnji
zločinačko udruženje
Velika akcija USKOK-a: Uhićenja na području jedne županije
Drama na nebu: Avion kružio sat vremena iznad aerodroma, pozvana policija, šokirani kapetan: Ovo još nisam doživio
Kaos
Drama na nebu! Avion kružio sat vremena iznad aerodroma, pozvana policija, šokirani kapetan: "Ovo još nisam doživio"
show
Jagoda Kumrić i Konstantin Haag odlaze iz ''Kumova''
''Arrivederci...''
Zvijezde Kumova rastužile fanove: ''Vrijeme je za okrenuti novu stranicu...''
Kralj Charles prvi je britanski monarh na rimokatoličkom sprovodu u 400 godina
''Ovo je velik korak...''
Povijesni trenutak na tužnom ispraćaju! Kralj Charles prekršio stoljetnu tradiciju
Mateo Kovačić i sinčić Ivan bili glavni modeli na ulicama New Yorka
''bože, pa divni su''
''Kakav otac, takav sin'': Izabel Kovačić podijelila zajedničke trenutke Matea i njihova provorođenca
zdravlje
Previše ovog vitamina može povećati rizik od raka!
Važna informacija
Previše ovog vitamina može povećati rizik od raka!
Ovo je najbolji kruh za mršavljenje prema nutricionistima!
Ne morate ga se odreći!
Ovo je najbolji kruh za mršavljenje prema nutricionistima!
Otkrijte kako 14 dana mijenja vaš imunološki sustav
POKROVITELJ DONAT
Otkrijte kako 14 dana mijenja vaš imunološki sustav
zabava
Samo u Dalmaciji! Scena ispred trgovine oduševila društven mreže
Zanimljivo
Samo u Dalmaciji! Scena ispred trgovine oduševila društvene mreže
Bacanje buketa u Hercegovini odlučila odraditi u svoju korist!
Impresivno!
Bacanje buketa u Hercegovini odlučila odraditi u svoju korist!
Ono što su stranci ostavili u zagrebačkom tramvaju oduševilo društvene mreže! To je poštenje
Svaka čast
Ono što su stranci ostavili u zagrebačkom tramvaju oduševilo društvene mreže! To je poštenje
tech
Fascinantna sposobnost 17-godišnjakinje oduševila znanstvenike: Takvih je ljudi tek stotinjak na svijetu
Neki bi joj zavidjeli
U strahu da ne ispadne čudna samo je obitelji priznala što može. Znanstvenici oduševljeni: "Takvih ima samo 100"
Situacija nikad nije bila gora: Profesori tvrde kako su domaće zadaće izgubile svaki smisao
Što napraviti?!
Situacija nikad nije bila gora: Profesori tvrde kako su domaće zadaće izgubile svaki smisao
Ako imate ove modele telefona, možda je vrijeme da ih zamijenite i kupite nove
Vrijeme radi svoje…
Ako imate ove modele telefona, možda je vrijeme da ih zamijenite i kupite nove
sport
Šokantne vijesti za Barcelonu! Katalonci ostali bez Laminea Yamala
neugodno
Šokantne vijesti za Barcelonu! Katalonci ostali bez Laminea Yamala
UFC neugodno iznenadio Antu Deliju! Kako je ovakvo što uopće moguće?
TJEDAN NAKON POBJEDE
UFC neugodno iznenadio Antu Deliju! Kako je ovakvo što uopće moguće?
Netko se zaigrao: Službena stranica SHNL-a objavila da će derbi na Poljudu ovako završiti
neobičan gaf
Netko se zaigrao: Službena stranica SHNL-a objavila da će derbi na Poljudu ovako završiti
tv
MasterChef: Kandidatkinja žiriju zadala pravu mozgalicu! Jeste li znali odgovor?!
ZANIMLJIVO!
Kandidatkinja žiriju MasterChefa zadala pravu mozgalicu! Jeste li znali odgovor?!
U dobru i zlu: Svi dokazi govore protiv njega, ali hoće li sve priznati?
U DOBRU I ZLU
U dobru i zlu: Svi dokazi govore protiv njega, ali hoće li sve priznati?
MasterChef: Instant burek? Izgleda da je i to moguće, a odsad će ga znati napraviti i chef Goran!
WOW!
Instant burek? Izgleda da je i to moguće, a odsad će ga znati napraviti i chef Goran!
putovanja
Tjedni jelovnik fina i brza jela 15. 9. do 21. 9. 2025.
Tjedni jelovnik
Zasitna su, fina i rade se bez puno muke: Sedam predobrih jela za svaki dan ovog tjedna
Najveće dječje igralište u Hrvatskoj
Ogromna zabava!
Odlična ideja za izlet: Otvoreno najveće dječje igralište u Hrvatskoj
Klet Kozjak u Zagorju: Savršeno odredište za izlet s kojeg se sigurno nećete vratiti gladni
Idila!
Savršena klet u Zagorju: Mjesto za izlet s kojeg se sigurno nećete vratiti gladni
novac
Zagreb izbacio Kineze s natječaja - autobusi su im bili nekoliko milijuna jeftiniji, ali nisu imali HD monitore
Zagreb izbacio Kineze s natječaja - autobusi su im bili nekoliko milijuna jeftiniji, ali nisu imali HD monitore
Jedan od najluksuznijih hrvatskih hotela sad gradi vile i ekskluzivni klub za članove
Samo za imućne
Jedan od najluksuznijih hrvatskih hotela sad gradi vile i ekskluzivni klub za članove
Oživljavanje Imunološkog: Priprema se natječaj za pogon u Rugvici vrijedan 40,8 milijuna eura
Lijekovi iz ljudske plazme
Oživljavanje Imunološkog: Priprema se natječaj za pogon u Rugvici vrijedan 40,8 milijuna eura
lifestyle
Lejla Filipović u satenskoj suknji i bijelim tenisicama
TAKO JE KAKO JE
Lejla Filipović: Suknja u kojoj svaka žena izgleda elegantno, čak i kada je upari s tenisicama
Zagreb špica: Majica sa simpatičnim natpisom u street style izdanju
BAŠ SIMPATIČNO
"Draga mama"... Majica s porukom nasmijala je žene u centru Zagreba
Dobre i loše strane Mjeseca u Lavu
Snažna energija
Stigao je Mjesec u Lavu: Kome donosi najviše sreće, a kome najviše brige?
sve
Lejla Filipović u satenskoj suknji i bijelim tenisicama
TAKO JE KAKO JE
Lejla Filipović: Suknja u kojoj svaka žena izgleda elegantno, čak i kada je upari s tenisicama
Zagreb špica: Majica sa simpatičnim natpisom u street style izdanju
BAŠ SIMPATIČNO
"Draga mama"... Majica s porukom nasmijala je žene u centru Zagreba
Šokantne vijesti za Barcelonu! Katalonci ostali bez Laminea Yamala
neugodno
Šokantne vijesti za Barcelonu! Katalonci ostali bez Laminea Yamala
 

Nastavi čitati

Ostalo
Učenici ekonomske škole Velika Gorica (Foto: Dnevnik.hr) - 1
Osvojili vrijedne nagrade

Izostaje potpora države: Oni su srednjoškolci iz Velike Gorice i imaju projekte koji se sviđaju poslodavcima

piše
Ostalo
Matematika (Foto: Getty Images)

Najveća hrvatska IT kompanija osigurat će našim matematičarima pripremu za olimpijadu

piše Valentina Pavlica
Ostalo
Bill Gates (Foto: AFP)
Prljava posla

Bill Gates staklenkom izmeta podržao kinesku zahodsku revoluciju

piše Martina Čizmić
Ostalo
Asteroid Oumuamua (Foto: AFP)
Oumuamua zbunjuje znanstvenike

Misteriozni asteroid: Gigantsku ''solarnu jedrilicu'' u naš Sunčev sustav poslala je druga civilizacija?!

piše
Ostalo
Paul Allen, suosnivač Microsofta (Foto: AFP)
nakon teške bolesti

"Stvorio je magične proizvode":  Preminuo suosnivač Microsofta Paul Allen

piše
Ostalo
Slika nije dostupna
Radioeksplozije

Signali izvanzemaljaca, pogona svemirskih brodova ili sudar crnih rupa? Jedno je sigurno - broj se udvostručio

piše E.P.
  • Pišite nam
  • Uredništvo
  • Oglašavanje i marketing
  • Uvjeti korištenja
  • Politika zaštite privatnosti
  • Politika o kolačićima
  • Dnevnik
  • Nova Plus
  • Gol.hr
  • Zadovoljna
  • Kreni Zdravo
  • NovaTV
  • DomaTV
Upravljaj obavijestima